数据泄露风险分析方法及数据泄露风险分析系统与流程

1.本技术涉及数据泄露风险分析技术领域，尤其涉及一种数据泄露风险分析方法及数据泄露风险分析系统。


背景技术：

2.随着信息技术的飞速发展，智能终端设备和网络已成为日常办公、通讯交流和协作互动的必备工具和途径。但是，企业业务系统在提高企业内部员工工作效率的同时，也对企业内部业务数据的存储、访问控制及企业内部终端设备的访问控制提出了安全需求。根据国家计算机信息安全测评中心的调查数据显示，由于企业内部重要业务数据通过网络泄露而造成重大经济损失的事件中，90％左右是由于企业内部员工有意或无意之间泄露导致的。因此，如何对企业内部员工进行数据泄露风险分析，从而防止企业内部员工泄露企业内部业务数据是至关重要的。


技术实现要素：

3.本技术实施例提供一种数据泄露风险分析方法及数据泄露风险分析系统，主要目的在于对企业内部员工进行数据泄露风险分析，从而防止企业内部员工泄露企业内部业务数据。
4.为解决上述技术问题，本技术实施例提供如下技术方案：
5.第一方面，本技术提供了一种数据泄露风险分析方法，所述方法应用于数据泄露风险分析系统，包括：
6.获取目标账号对应的用户行为信息；
7.根据所述用户行为信息和第一预置规则生成所述目标账号对应的多个行为分析结果，其中，多个所述行为分析结果包括登录行为分析结果、业务访问行为分析结果、终端设备使用行为分析结果和外发行为分析结果中的任意多个；
8.根据多个所述行为分析结果确定所述目标账号是否存在数据泄露风险。
9.可选的，所述获取目标账号对应的用户行为信息，包括：
10.获取登录行为信息日志，并从所述登录行为信息日志中提取所述目标账号对应的登录行为信息；
11.获取所述目标账号对应的业务访问行为信息；
12.获取所述目标账号对应的终端设备审计日志，并从所述终端设备审计日志中提取所述目标账号对应的终端设备使用行为信息；
13.获取所述目标账号对应的外发行为信息。
14.可选的，所述登录行为信息包括所述目标账号对应的登录时间和目标终端设备的设备唯一标识；所述业务访问行为信息包括所述目标账号在目标时间段内的业务访问种类、业务访问流量和业务数据下载频次；所述第一预置规则具体为：
15.获取所述目标账号对应的预设登录时间段和目标设备唯一标识；若所述目标账号
对应的登录时间处于所述预设登录时间段内，且所述目标账号对应的目标终端设备的设备唯一标识为所述目标设备唯一标识，则确定所述目标账号对应的登录行为分析结果为登录行为正常；若所述目标账号对应的登录时间未处于所述预设登录时间段内，和/或所述目标账号对应的目标终端设备的设备唯一标识与所述目标设备唯一标识不同，则确定所述目标账号对应的登录行为分析结果为登录行为异常；和/或，
16.获取所述目标账号对应的预设业务访问种类阈值、预设业务访问流量阈值和预设业务数据下载频次阈值；若所述目标账号在所述目标时间段内的业务访问种类小于或等于所述预设业务访问种类阈值、所述目标账号在所述目标时间段内的业务访问流量小于或等于所述预设业务访问流量阈值，且所述目标账号在所述目标时间段内的业务数据下载频次小于或等于所述预设业务数据下载频次阈值，则确定所述目标账号对应的业务访问行为分析结果为业务访问行为正常；若所述目标账号在所述目标时间段内的业务访问种类大于所述预设业务访问种类阈值，和/或所述目标账号在所述目标时间段内的业务访问流量大于所述预设业务访问流量阈值，和/或所述目标账号在所述目标时间段内的业务数据下载频次大于所述预设业务数据下载频次阈值，则确定所述目标账号对应的业务访问行为分析结果为业务访问行为异常；和/或，
17.根据所述终端设备使用行为信息确定所述目标账号对应的目标终端设备是否存在违规使用行为；若不存在所述违规使用行为，则确定所述目标账号对应的终端设备使用行为分析结果为终端设备使用行为正常；若存在所述违规使用行为，则确定所述目标账号对应的终端设备使用行为分析结果为终端设备使用行为异常；和/或，
18.根据所述外发行为信息确定所述目标账号对应的目标终端设备是否存在违规外发行为；若不存在所述违规外发行为，则确定所述目标账号对应的外发行为分析结果为外发行为正常；若存在所述违规外发行为，则确定所述目标账号对应的外发行为分析结果为外发行为异常。
19.可选的，所述根据多个所述行为分析结果确定所述目标账号是否存在数据泄露风险，包括：
20.若任意一个所述行为分析结果为行为异常，则确定所述目标账号存在数据泄露风险。
21.可选的，所述根据多个所述行为分析结果确定所述目标账号是否存在数据泄露风险，包括：
22.获取每个所述行为分析结果对应的预设权重值；
23.根据多个所述行为分析结果获取每个所述行为分析结果对应的风险评分；
24.根据每个所述行为分析结果对应的预设权重值对多个所述风险评分进行加权求和计算，以获得所述目标账号对应的总风险评分；
25.若所述总风险评分大于或等于风险评分阈值，则确定所述目标账号存在数据泄露风险。
26.可选的，所述方法还包括：
27.若所述目标账号存在数据泄露风险，则根据所述目标账号对应的账号信息、用户行为信息和多个所述行为分析结果生成告警信息，并输出显示所述告警信息；
28.将所述目标账号设置为高风险账号；
29.根据第二预置规则调整所述目标账号对应的每个行为分析结果的风险评分。
30.第二方面，本技术还提供一种数据泄露风险分析系统，包括：
31.获取单元，用于获取目标账号对应的用户行为信息；
32.生成单元，用于根据所述用户行为信息和第一预置规则生成所述目标账号对应的多个行为分析结果，其中，多个所述行为分析结果包括登录行为分析结果、业务访问行为分析结果、终端设备使用行为分析结果和外发行为分析结果中的任意多个；
33.确定单元，用于根据多个所述行为分析结果确定所述目标账号是否存在数据泄露风险。
34.可选的，所述获取单元包括：
35.第一获取模块，用于获取登录行为信息日志，并从所述登录行为信息日志中提取所述目标账号对应的登录行为信息；
36.第二获取模块，用于获取所述目标账号对应的业务访问行为信息；
37.第三获取模块，用于获取所述目标账号对应的终端设备审计日志，并从所述终端设备审计日志中提取所述目标账号对应的终端设备使用行为信息；
38.第四获取模块，用于获取所述目标账号对应的外发行为信息。
39.可选的，所述登录行为信息包括所述目标账号对应的登录时间和目标终端设备的设备唯一标识；所述业务访问行为信息包括所述目标账号在目标时间段内的业务访问种类、业务访问流量和业务数据下载频次；所述第一预置规则具体为：
40.获取所述目标账号对应的预设登录时间段和目标设备唯一标识；若所述目标账号对应的登录时间处于所述预设登录时间段内，且所述目标账号对应的目标终端设备的设备唯一标识为所述目标设备唯一标识，则确定所述目标账号对应的登录行为分析结果为登录行为正常；若所述目标账号对应的登录时间未处于所述预设登录时间段内，和/或所述目标账号对应的目标终端设备的设备唯一标识与所述目标设备唯一标识不同，则确定所述目标账号对应的登录行为分析结果为登录行为异常；和/或，
41.获取所述目标账号对应的预设业务访问种类阈值、预设业务访问流量阈值和预设业务数据下载频次阈值；若所述目标账号在所述目标时间段内的业务访问种类小于或等于所述预设业务访问种类阈值、所述目标账号在所述目标时间段内的业务访问流量小于或等于所述预设业务访问流量阈值，且所述目标账号在所述目标时间段内的业务数据下载频次小于或等于所述预设业务数据下载频次阈值，则确定所述目标账号对应的业务访问行为分析结果为业务访问行为正常；若所述目标账号在所述目标时间段内的业务访问种类大于所述预设业务访问种类阈值，和/或所述目标账号在所述目标时间段内的业务访问流量大于所述预设业务访问流量阈值，和/或所述目标账号在所述目标时间段内的业务数据下载频次大于所述预设业务数据下载频次阈值，则确定所述目标账号对应的业务访问行为分析结果为业务访问行为异常；和/或，
42.根据所述终端设备使用行为信息确定所述目标账号对应的目标终端设备是否存在违规使用行为；若不存在所述违规使用行为，则确定所述目标账号对应的终端设备使用行为分析结果为终端设备使用行为正常；若存在所述违规使用行为，则确定所述目标账号对应的终端设备使用行为分析结果为终端设备使用行为异常；和/或，
43.根据所述外发行为信息确定所述目标账号对应的目标终端设备是否存在违规外
发行为；若不存在所述违规外发行为，则确定所述目标账号对应的外发行为分析结果为外发行为正常；若存在所述违规外发行为，则确定所述目标账号对应的外发行为分析结果为外发行为异常。
44.可选的，所述确定单元，具体用于若任意一个所述行为分析结果为行为异常，则确定所述目标账号存在数据泄露风险。
45.可选的，所述确定单元，具体用于获取每个所述行为分析结果对应的预设权重值；根据多个所述行为分析结果获取每个所述行为分析结果对应的风险评分；根据每个所述行为分析结果对应的预设权重值对多个所述风险评分进行加权求和计算，以获得所述目标账号对应的总风险评分；若所述总风险评分大于或等于风险评分阈值，则确定所述目标账号存在数据泄露风险。
46.可选的，所述系统还包括：
47.输出单元，用于当所述确定单元确定所述目标账号存在数据泄露风险时，根据所述目标账号对应的账号信息、用户行为信息和多个所述行为分析结果生成告警信息，并输出显示所述告警信息；
48.设置单元，用于将所述目标账号设置为高风险账号；
49.调整单元，用于根据第二预置规则调整所述目标账号对应的每个行为分析结果的风险评分。
50.第三方面，本技术的实施例提供了一种存储介质，所述存储介质包括存储的程序，其中，在所述程序运行时控制所述存储介质所在设备执行第一方面所述的终端设备的数据泄露风险分析方法。
51.第四方面，本技术的实施例提供了一种数据泄露风险分析装置，所述装置包括存储介质；及一个或者多个处理器，所述存储介质与所述处理器耦合，所述处理器被配置为执行所述存储介质中存储的程序指令；所述程序指令运行时执行第一方面所述的终端设备的数据泄露风险分析方法。
52.借由上述技术方案，本技术提供的技术方案至少具有下列优点：
53.本技术提供一种数据泄露风险分析方法及数据泄露风险分析系统，本技术能够在数据泄露风险分析系统获取得到目标账号对应的用户行为信息(即目标员工对应的用户行为信息)后，由数据泄露风险分析系统根据目标账号对应的用户行为信息和第一预置规则生成目标账号对应的多个行为分析结果，并根据目标账号对应的多个行为分析结果确定目标账号是否存在数据泄露风险，以便目标企业内部的网络安全管理工作人员获知目标员工是否存在泄露目标企业的内部业务数据的可能性，从而确定是否调查目标员工，以防止目标员工泄露目标企业的内部业务数据。
54.上述说明仅是本技术技术方案的概述，为了能够更清楚了解本技术的技术手段，而可依照说明书的内容予以实施，并且为了让本技术的上述和其它目的、特征和优点能够更明显易懂，以下特举本技术的具体实施方式。
附图说明
55.通过参考附图阅读下文的详细描述，本技术示例性实施方式的上述以及其他目的、特征和优点将变得易于理解。在附图中，以示例性而非限制性的方式示出了本技术的若
干实施方式，相同或对应的标号表示相同或对应的部分，其中：
56.图1示出了本技术实施例提供的一种数据泄露风险分析方法流程图；
57.图2示出了本技术实施例提供的另一种数据泄露风险分析方法流程图；
58.图3示出了本技术实施例提供的一种数据泄露风险分析系统的组成框图；
59.图4示出了本技术实施例提供的另一种数据泄露风险分析系统的组成框图。
具体实施方式
60.下面将参照附图更详细地描述本技术的示例性实施方式。虽然附图中显示了本技术的示例性实施方式，然而应当理解，可以以各种形式实现本技术而不应被这里阐述的实施方式所限制。相反，提供这些实施方式是为了能够更透彻地理解本技术，并且能够将本技术的范围完整的传达给本领域的技术人员。
61.需要注意的是，除非另有说明，本技术使用的技术术语或者科学术语应当为本技术所属领域技术人员所理解的通常意义。
62.本技术实施例提供一种数据泄露风险分析方法，该方法应用于数据泄露风险分析系统，具体如图1所示，该方法包括：
63.101、获取目标账号对应的用户行为信息。
64.其中，目标账号为目标企业内部需要进行数据泄露风险分析的目标员工的账号，目标员工可以为目标企业内部的任意一名员工。
65.其中，目标账号对应的用户行为信息可以但不限于包括：目标账号对应的登录行为信息、业务访问行为信息、终端设备使用行为信息和外发行为信息等等。其中，目标账号对应的登录行为信息为目标用户通过目标终端设备使用目标账号登录目标企业的企业业务系统时产生的行为信息；目标账号对应的业务访问行为信息为目标用户在使用目标账号登录企业业务系统后，通过目标账号访问企业业务系统中的企业业务产生的行为信息；目标账号对应的终端设备使用行为信息为目标用户使用目标终端设备过程中产生的行为信息；目标账号对应的外发行为信息为目标用户通过目标终端设备进行数据外发过程中产生的行为信息。
66.需要进行说明的是，在本技术实施例中，各个步骤中的执行主体为数据泄露风险分析系统，数据泄露风险分析系统能够与目标企业的企业业务系统进行数据交互，也能够与目标企业内部的各个终端设备和目标企业内部的网络安全审计设备进行数据交互。
67.在本技术实施例中，当需要对目标企业内部的目标员工进行数据泄露风险分析时，数据泄露风险分析系统需要先获取目标账号对应的用户行为信息(即目标员工对应的用户行为信息)，以便后续基于目标账号对应的用户行为信息对目标员工进行数据泄露风险分析。
68.102、根据用户行为信息和第一预置规则生成目标账号对应的多个行为分析结果。
69.其中，目标账号对应的多个行为分析结果包括：目标账号对应的登录行为分析结果、业务访问行为分析结果、终端设备使用行为分析结果和外发行为分析结果中的任意多个。
70.在本技术实施例中，数据泄露风险分析系统在获取得到目标账号对应的用户行为信息后，需要根据目标账号对应的用户行为信息和第一预置规则生成目标账号对应的多个
行为分析结果，即根据目标账号对应的用户行为信息和第一预置规则对目标员工进行数据泄露风险分析，从而获得目标员工对应的多个行为分析结果。
71.103、根据多个行为分析结果确定目标账号是否存在数据泄露风险。
72.在本技术实施例中，数据泄露风险分析系统在根据目标账号对应的用户行为信息和第一预置规则生成目标账号对应的多个行为分析结果后，便可根据目标账号对应的多个行为分析结果确定目标账号是否存在数据泄露风险，即根据目标账号对应的多个行为分析结果确定目标员工是否存在泄露目标企业的内部业务数据的可能性。
73.本技术实施例提供一种数据泄露风险分析方法，本技术实施例能够在数据泄露风险分析系统获取得到目标账号对应的用户行为信息(即目标员工对应的用户行为信息)后，由数据泄露风险分析系统根据目标账号对应的用户行为信息和第一预置规则生成目标账号对应的多个行为分析结果，并根据目标账号对应的多个行为分析结果确定目标账号是否存在数据泄露风险，以便目标企业内部的网络安全管理工作人员获知目标员工是否存在泄露目标企业的内部业务数据的可能性，从而确定是否调查目标员工，以防止目标员工泄露目标企业的内部业务数据。
74.以下为了更加详细地说明，本技术实施例提供了另一种数据泄露风险分析方法，该方法应用于数据泄露风险分析系统，具体如图2所示，该方法包括：
75.201、获取目标账号对应的用户行为信息。
76.在本技术实施例中，当需要对目标企业内部的目标员工进行数据泄露风险分析时，数据泄露风险分析系统需要先获取目标账号对应的用户行为信息。
77.其中，数据泄露风险分析系统获取目标账号对应的用户行为信息的具体过程为：(1)获取登录行为信息日志，并从登录行为信息日志中提取目标账号对应的登录行为信息；(2)获取目标账号对应的业务访问行为信息；(3)获取目标账号对应的终端设备审计日志，并从终端设备审计日志中提取目标账号对应的终端设备使用行为信息；(4)获取目标账号对应的外发行为信息。
78.具体的，在本步骤中，目标企业的企业业务系统会将目标用户通过目标终端设备使用目标账号登录目标企业的企业业务系统时产生的登录行为信息记录在登录行为信息日志，并且，会记录目标用户在使用目标账号登录企业业务系统后，通过目标账号访问企业业务系统中的企业业务产生的业务访问行为信息，因此，数据泄露风险分析系统可以在企业业务系统处获取得到登录行为信息日志和目标账号对应的业务访问行为信息；安装于目标终端设备中的终端安全管理系统和目标企业内部的网络安全审计设备均会记录目标用户使用目标终端设备过程中产生的终端设备使用行为信息和目标用户通过目标终端设备进行数据外发过程中产生的外发行为信息，因此，数据泄露风险分析系统可以在终端安全管理系统处获取得到目标账号对应的终端设备使用行为信息和外发行为信息，也可以在网络安全审计设备处获取得到目标账号对应的终端设备使用行为信息和外发行为信息，本技术实施例对此不进行具体限定。
79.202、根据用户行为信息和第一预置规则生成目标账号对应的多个行为分析结果。
80.其中，关于步骤202、根据用户行为信息和第一预置规则生成目标账号对应的多个行为分析结果，可以参考图1对应部分的描述，本技术实施例此处将不再赘述。
81.其中，目标账号对应的登录行为信息包括目标账号对应的登录时间和目标终端设
备的设备唯一标识；其中，目标账号对应的业务访问行为信息包括目标账号在目标时间段内的业务访问种类、业务访问流量和业务数据下载频次，目标时间段可以为任意一个时间段。
82.其中，第一预置规则具体包含以下任意一条或任意多条：(1)获取目标账号对应的预设登录时间段和目标设备唯一标识，其中，预设登录时间段为预先设定的、允许目标账号登录的时间段，目标设备唯一标识为目标企业预先为目标用户分配的终端设备的设备唯一标识；若目标账号对应的登录时间处于预设登录时间段内，且目标账号对应的目标终端设备的设备唯一标识为目标设备唯一标识，则确定目标账号对应的登录行为分析结果为登录行为正常；若目标账号对应的登录时间未处于预设登录时间段内，和/或目标账号对应的目标终端设备的设备唯一标识与目标设备唯一标识不同，则确定目标账号对应的登录行为分析结果为登录行为异常；(2)获取目标账号对应的预设业务访问种类阈值、预设业务访问流量阈值和预设业务数据下载频次阈值；若目标账号在目标时间段内的业务访问种类小于或等于预设业务访问种类阈值、目标账号在目标时间段内的业务访问流量小于或等于预设业务访问流量阈值，且目标账号在目标时间段内的业务数据下载频次小于或等于预设业务数据下载频次阈值，则确定目标账号对应的业务访问行为分析结果为业务访问行为正常；若目标账号在目标时间段内的业务访问种类大于预设业务访问种类阈值，和/或目标账号在目标时间段内的业务访问流量大于预设业务访问流量阈值，和/或目标账号在目标时间段内的业务数据下载频次大于预设业务数据下载频次阈值，则确定目标账号对应的业务访问行为分析结果为业务访问行为异常；(3)根据终端设备使用行为信息确定目标账号对应的目标终端设备是否存在违规使用行为，其中，违规使用行为可以但不限于包括：使用u盘、开启特定进程、打印数据文件等等；若不存在违规使用行为，则确定目标账号对应的终端设备使用行为分析结果为终端设备使用行为正常；若存在违规使用行为，则确定目标账号对应的终端设备使用行为分析结果为终端设备使用行为异常；(4)根据外发行为信息确定目标账号对应的目标终端设备是否存在违规外发行为，其中，违规外发行为可以但不限于包括：加密外发、压缩外发、隐私数据文件外发、敏感数据文件外发、邮件外发等等；若不存在违规外发行为，则确定目标账号对应的外发行为分析结果为外发行为正常；若存在违规外发行为，则确定目标账号对应的外发行为分析结果为外发行为异常。
83.203、根据多个行为分析结果确定目标账号是否存在数据泄露风险。
84.在本技术实施例中，数据泄露风险分析系统在根据目标账号对应的用户行为信息和第一预置规则生成目标账号对应的多个行为分析结果后，便可根据目标账号对应的多个行为分析结果确定目标账号是否存在数据泄露风险，即根据目标账号对应的多个行为分析结果确定目标员工是否存在泄露目标企业的内部业务数据的可能性。
85.具体的，在本步骤中，数据泄露风险分析系统可以采用以下两种方式中的任意一种方式根据目标账号对应的多个行为分析结果确定目标账号是否存在数据泄露风险：
86.(1)当多个行为分析结果中的任意一个行为分析结果为行为异常，则确定目标账号存在数据泄露风险；当多个行为分析结果均为行为正常，则确定目标账号不存在数据泄露风险；
87.(2)先获取每个行为分析结果对应的预设权重值；再根据多个行为分析结果获取每个行为分析结果对应的风险评分，其中，对于任意一个类型的行为分析结果而言，网络安
全管理工作人员预先设置有该类型的行为分析结果为行为异常时，其对应的风险评分，以及该类型的行为分析结果为行为正常时，其对应的风险评分；最后，根据每个行为分析结果对应的预设权重值对多个风险评分进行加权求和计算，从而获得目标账号对应的总风险评分，若目标账号对应的总风险评分大于或等于风险评分阈值，则确定目标账号存在数据泄露风险，若目标账号对应的总风险评分小于风险评分阈值，则确定目标账号不存在数据泄露风险。
88.204、若目标账号存在数据泄露风险，则根据目标账号对应的账号信息、用户行为信息和多个行为分析结果生成告警信息，并输出显示告警信息。
89.其中，目标账号对应的账号信息可以但不限于包括：目标账号本身、目标终端设备的设备唯一标识等等。
90.在本技术实施例中，当确定目标账号存在数据泄露风险时，数据泄露风险分析系统需要根据目标账号对应的账号信息、用户行为信息和多个行为分析结果生成告警信息，并输出显示告警信息，以便目标企业内部的网络安全管理工作人员根据告警信息获知目标员工存在泄露目标企业的内部业务数据的可能性，从而调查目标员工，进而防止目标员工泄露目标企业的内部业务数据。
91.205、将目标账号设置为高风险账号，并根据第二预置规则调整目标账号对应的每个行为分析结果的风险评分。
92.其中，第二预置规则具体为：若目标账号对应的某个行为分析结果为行为正常，则将目标账号对应的该行为分析结果的风险评分加上第一数值，若目标账号对应的某个行为分析结果为行为异常，则将目标账号对应的该行为分析结果的风险评分加上第二数值，其中，第二数值大于第一数值。
93.在本技术实施例中，数据泄露风险分析系统在确定目标账号存在数据泄露风险，并根据目标账号对应的账号信息、用户行为信息和多个行为分析结果生成告警信息，以及输出显示告警信息后，还需要将目标账号设置为高风险账号，并根据第二预置规则调整目标账号对应的每个行为分析结果的风险评分。
94.其中，将目标账号设置为高风险账号的目的是：后续网络安全管理工作人员可以根据多个高风险账号调整第一预置规则，从而提高数据泄露风险分析系统基于第一预置规则对目标企业内部的员工进行数据泄露风险分析的准确性；
95.其中，根据第二预置规则调整目标账号对应的每个行为分析结果的风险评分的目的是：以便后续数据泄露风险分析系统能够更加容易的分析出目标账号是否存在数据泄露风险。
96.为了实现上述目的，根据本技术的另一方面，本技术实施例还提供了一种存储介质，所述存储介质包括存储的程序，其中，在所述程序运行时控制所述存储介质所在设备执行上述所述的数据泄露风险分析方法。
97.为了实现上述目的，根据本技术的另一方面，本技术实施例还提供了一种数据泄露风险分析装置，所述装置包括存储介质；及一个或者多个处理器，所述存储介质与所述处理器耦合，所述处理器被配置为执行所述存储介质中存储的程序指令；所述程序指令运行时执行上述所述的数据泄露风险分析方法。
98.进一步的，作为对上述图1及图2所示方法的实现，本技术另一实施例还提供了一
种数据泄露风险分析系统。该系统实施例与前述方法实施例对应，为便于阅读，本系统实施例不再对前述方法实施例中的细节内容进行逐一赘述，但应当明确，本实施例中的系统能够对应实现前述方法实施例中的全部内容。该系统应用于对企业内部员工进行数据泄露风险分析，从而防止企业内部员工泄露企业内部业务数据，具体如图3所示，该系统包括：
99.获取单元31，用于获取目标账号对应的用户行为信息；
100.生成单元32，用于根据所述用户行为信息和第一预置规则生成所述目标账号对应的多个行为分析结果，其中，多个所述行为分析结果包括登录行为分析结果、业务访问行为分析结果、终端设备使用行为分析结果和外发行为分析结果中的任意多个；
101.确定单元33，用于根据多个所述行为分析结果确定所述目标账号是否存在数据泄露风险。
102.进一步的，如图4所示，获取单元31包括：
103.第一获取模块311，用于获取登录行为信息日志，并从所述登录行为信息日志中提取所述目标账号对应的登录行为信息；
104.第二获取模块312，用于获取所述目标账号对应的业务访问行为信息；
105.第三获取模块313，用于获取所述目标账号对应的终端设备审计日志，并从所述终端设备审计日志中提取所述目标账号对应的终端设备使用行为信息；
106.第四获取模块314，用于获取所述目标账号对应的外发行为信息。
107.进一步的，如图4所示，所述登录行为信息包括所述目标账号对应的登录时间和目标终端设备的设备唯一标识；所述业务访问行为信息包括所述目标账号在目标时间段内的业务访问种类、业务访问流量和业务数据下载频次；所述第一预置规则具体为：
108.获取所述目标账号对应的预设登录时间段和目标设备唯一标识；若所述目标账号对应的登录时间处于所述预设登录时间段内，且所述目标账号对应的目标终端设备的设备唯一标识为所述目标设备唯一标识，则确定所述目标账号对应的登录行为分析结果为登录行为正常；若所述目标账号对应的登录时间未处于所述预设登录时间段内，和/或所述目标账号对应的目标终端设备的设备唯一标识与所述目标设备唯一标识不同，则确定所述目标账号对应的登录行为分析结果为登录行为异常；和/或，
109.获取所述目标账号对应的预设业务访问种类阈值、预设业务访问流量阈值和预设业务数据下载频次阈值；若所述目标账号在所述目标时间段内的业务访问种类小于或等于所述预设业务访问种类阈值、所述目标账号在所述目标时间段内的业务访问流量小于或等于所述预设业务访问流量阈值，且所述目标账号在所述目标时间段内的业务数据下载频次小于或等于所述预设业务数据下载频次阈值，则确定所述目标账号对应的业务访问行为分析结果为业务访问行为正常；若所述目标账号在所述目标时间段内的业务访问种类大于所述预设业务访问种类阈值，和/或所述目标账号在所述目标时间段内的业务访问流量大于所述预设业务访问流量阈值，和/或所述目标账号在所述目标时间段内的业务数据下载频次大于所述预设业务数据下载频次阈值，则确定所述目标账号对应的业务访问行为分析结果为业务访问行为异常；和/或，
110.根据所述终端设备使用行为信息确定所述目标账号对应的目标终端设备是否存在违规使用行为；若不存在所述违规使用行为，则确定所述目标账号对应的终端设备使用行为分析结果为终端设备使用行为正常；若存在所述违规使用行为，则确定所述目标账号
对应的终端设备使用行为分析结果为终端设备使用行为异常；和/或，
111.根据所述外发行为信息确定所述目标账号对应的目标终端设备是否存在违规外发行为；若不存在所述违规外发行为，则确定所述目标账号对应的外发行为分析结果为外发行为正常；若存在所述违规外发行为，则确定所述目标账号对应的外发行为分析结果为外发行为异常。
112.进一步的，如图4所示，确定单元33，具体用于若任意一个所述行为分析结果为行为异常，则确定所述目标账号存在数据泄露风险。
113.进一步的，如图4所示，确定单元33，具体用于获取每个所述行为分析结果对应的预设权重值；根据多个所述行为分析结果获取每个所述行为分析结果对应的风险评分；根据每个所述行为分析结果对应的预设权重值对多个所述风险评分进行加权求和计算，以获得所述目标账号对应的总风险评分；若所述总风险评分大于或等于风险评分阈值，则确定所述目标账号存在数据泄露风险。
114.进一步的，如图4所示，该系统还包括：
115.输出单元34，用于当所述确定单元33确定所述目标账号存在数据泄露风险时，根据所述目标账号对应的账号信息、用户行为信息和多个所述行为分析结果生成告警信息，并输出显示所述告警信息；
116.设置单元35，用于将所述目标账号设置为高风险账号；
117.调整单元36，用于根据第二预置规则调整所述目标账号对应的每个行为分析结果的风险评分。
118.本技术实施例提供一种数据泄露风险分析方法及数据泄露风险分析系统，本技术实施例能够在数据泄露风险分析系统获取得到目标账号对应的用户行为信息(即目标员工对应的用户行为信息)后，由数据泄露风险分析系统根据目标账号对应的用户行为信息和第一预置规则生成目标账号对应的多个行为分析结果，并根据目标账号对应的多个行为分析结果确定目标账号是否存在数据泄露风险，以便目标企业内部的网络安全管理工作人员获知目标员工是否存在泄露目标企业的内部业务数据的可能性，从而确定是否调查目标员工，以防止目标员工泄露目标企业的内部业务数据。
119.本技术实施例提供了一种存储介质，所述存储介质包括存储的程序，其中，在所述程序运行时控制所述存储介质所在设备执行上述所述的数据泄露风险分析方法。
120.存储介质可能包括计算机可读介质中的非永久性存储器，随机存取存储器(ram)和/或非易失性内存等形式，如只读存储器(rom)或闪存(flash ram)，存储器包括至少一个存储芯片。
121.本技术实施例还提供了一种数据泄露风险分析装置，所述装置包括存储介质；及一个或者多个处理器，所述存储介质与所述处理器耦合，所述处理器被配置为执行所述存储介质中存储的程序指令；所述程序指令运行时执行上述所述的数据泄露风险分析方法。
122.本技术实施例提供了一种设备，设备包括处理器、存储器及存储在存储器上并可在处理器上运行的程序，处理器执行程序时实现以下步骤：
123.获取目标账号对应的用户行为信息；
124.根据所述用户行为信息和第一预置规则生成所述目标账号对应的多个行为分析结果，其中，多个所述行为分析结果包括登录行为分析结果、业务访问行为分析结果、终端
设备使用行为分析结果和外发行为分析结果中的任意多个；
125.根据多个所述行为分析结果确定所述目标账号是否存在数据泄露风险。
126.进一步的，所述获取目标账号对应的用户行为信息，包括：
127.获取登录行为信息日志，并从所述登录行为信息日志中提取所述目标账号对应的登录行为信息；
128.获取所述目标账号对应的业务访问行为信息；
129.获取所述目标账号对应的终端设备审计日志，并从所述终端设备审计日志中提取所述目标账号对应的终端设备使用行为信息；
130.获取所述目标账号对应的外发行为信息。
131.进一步的，所述登录行为信息包括所述目标账号对应的登录时间和目标终端设备的设备唯一标识；所述业务访问行为信息包括所述目标账号在目标时间段内的业务访问种类、业务访问流量和业务数据下载频次；所述第一预置规则具体为：
132.获取所述目标账号对应的预设登录时间段和目标设备唯一标识；若所述目标账号对应的登录时间处于所述预设登录时间段内，且所述目标账号对应的目标终端设备的设备唯一标识为所述目标设备唯一标识，则确定所述目标账号对应的登录行为分析结果为登录行为正常；若所述目标账号对应的登录时间未处于所述预设登录时间段内，和/或所述目标账号对应的目标终端设备的设备唯一标识与所述目标设备唯一标识不同，则确定所述目标账号对应的登录行为分析结果为登录行为异常；和/或，
133.获取所述目标账号对应的预设业务访问种类阈值、预设业务访问流量阈值和预设业务数据下载频次阈值；若所述目标账号在所述目标时间段内的业务访问种类小于或等于所述预设业务访问种类阈值、所述目标账号在所述目标时间段内的业务访问流量小于或等于所述预设业务访问流量阈值，且所述目标账号在所述目标时间段内的业务数据下载频次小于或等于所述预设业务数据下载频次阈值，则确定所述目标账号对应的业务访问行为分析结果为业务访问行为正常；若所述目标账号在所述目标时间段内的业务访问种类大于所述预设业务访问种类阈值，和/或所述目标账号在所述目标时间段内的业务访问流量大于所述预设业务访问流量阈值，和/或所述目标账号在所述目标时间段内的业务数据下载频次大于所述预设业务数据下载频次阈值，则确定所述目标账号对应的业务访问行为分析结果为业务访问行为异常；和/或，
134.根据所述终端设备使用行为信息确定所述目标账号对应的目标终端设备是否存在违规使用行为；若不存在所述违规使用行为，则确定所述目标账号对应的终端设备使用行为分析结果为终端设备使用行为正常；若存在所述违规使用行为，则确定所述目标账号对应的终端设备使用行为分析结果为终端设备使用行为异常；和/或，
135.根据所述外发行为信息确定所述目标账号对应的目标终端设备是否存在违规外发行为；若不存在所述违规外发行为，则确定所述目标账号对应的外发行为分析结果为外发行为正常；若存在所述违规外发行为，则确定所述目标账号对应的外发行为分析结果为外发行为异常。
136.进一步的，所述根据多个所述行为分析结果确定所述目标账号是否存在数据泄露风险，包括：
137.若任意一个所述行为分析结果为行为异常，则确定所述目标账号存在数据泄露风
险。
138.进一步的，所述根据多个所述行为分析结果确定所述目标账号是否存在数据泄露风险，包括：
139.获取每个所述行为分析结果对应的预设权重值；
140.根据多个所述行为分析结果获取每个所述行为分析结果对应的风险评分；
141.根据每个所述行为分析结果对应的预设权重值对多个所述风险评分进行加权求和计算，以获得所述目标账号对应的总风险评分；
142.若所述总风险评分大于或等于风险评分阈值，则确定所述目标账号存在数据泄露风险。
143.进一步的，所述方法还包括：
144.若所述目标账号存在数据泄露风险，则根据所述目标账号对应的账号信息、用户行为信息和多个所述行为分析结果生成告警信息，并输出显示所述告警信息；
145.将所述目标账号设置为高风险账号；
146.根据第二预置规则调整所述目标账号对应的每个行为分析结果的风险评分。
147.本技术还提供了一种计算机程序产品，当在数据处理设备上执行时，适于执行初始化有如下方法步骤的程序代码：获取目标账号对应的用户行为信息；根据所述用户行为信息和第一预置规则生成所述目标账号对应的多个行为分析结果，其中，多个所述行为分析结果包括登录行为分析结果、业务访问行为分析结果、终端设备使用行为分析结果和外发行为分析结果中的任意多个；根据多个所述行为分析结果确定所述目标账号是否存在数据泄露风险。
148.本领域内的技术人员应明白，本技术的实施例可提供为方法、系统、或计算机程序产品。因此，本技术可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本技术可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、cd-rom、光学存储器等)上实施的计算机程序产品的形式。
149.本技术是参照根据本技术实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
150.这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
151.这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
152.在一个典型的配置中，计算设备包括一个或多个处理器(cpu)、输入/输出接口、网络接口和内存。
153.存储器可能包括计算机可读介质中的非永久性存储器，随机存取存储器(ram)和/或非易失性内存等形式，如只读存储器(rom)或闪存(flash ram)。存储器是计算机可读介质的示例。
154.计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括，但不限于相变内存(pram)、静态随机存取存储器(sram)、动态随机存取存储器(dram)、其他类型的随机存取存储器(ram)、只读存储器(rom)、电可擦除可编程只读存储器(eeprom)、快闪记忆体或其他内存技术、只读光盘只读存储器(cd-rom)、数字多功能光盘(dvd)或其他光学存储、磁盒式磁带，磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质，可用于存储可以被计算设备访问的信息。按照本文中的界定，计算机可读介质不包括暂存电脑可读媒体(transitory media)，如调制的数据信号和载波。
155.还需要说明的是，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个
……”
限定的要素，并不排除在包括要素的过程、方法、商品或者设备中还存在另外的相同要素。
156.本领域技术人员应明白，本技术的实施例可提供为方法、系统或计算机程序产品。因此，本技术可采用完全硬件实施例、完全软件实施例或结合软件和硬件方面的实施例的形式。而且，本技术可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、cd-rom、光学存储器等)上实施的计算机程序产品的形式。
157.以上仅为本技术的实施例而已，并不用于限制本技术。对于本领域技术人员来说，本技术可以有各种更改和变化。凡在本技术的精神和原理之内所作的任何修改、等同替换、改进等，均应包含在本技术的权利要求范围之内。

技术特征：
1.一种数据泄露风险分析方法，其特征在于，所述方法应用于数据泄露风险分析系统，包括：获取目标账号对应的用户行为信息；根据所述用户行为信息和第一预置规则生成所述目标账号对应的多个行为分析结果，其中，多个所述行为分析结果包括登录行为分析结果、业务访问行为分析结果、终端设备使用行为分析结果和外发行为分析结果中的任意多个；根据多个所述行为分析结果确定所述目标账号是否存在数据泄露风险。2.根据权利要求1所述的方法，其特征在于，所述获取目标账号对应的用户行为信息，包括：获取登录行为信息日志，并从所述登录行为信息日志中提取所述目标账号对应的登录行为信息；获取所述目标账号对应的业务访问行为信息；获取所述目标账号对应的终端设备审计日志，并从所述终端设备审计日志中提取所述目标账号对应的终端设备使用行为信息；获取所述目标账号对应的外发行为信息。3.根据权利要求2所述的方法，其特征在于，所述登录行为信息包括所述目标账号对应的登录时间和目标终端设备的设备唯一标识；所述业务访问行为信息包括所述目标账号在目标时间段内的业务访问种类、业务访问流量和业务数据下载频次；所述第一预置规则具体为：获取所述目标账号对应的预设登录时间段和目标设备唯一标识；若所述目标账号对应的登录时间处于所述预设登录时间段内，且所述目标账号对应的目标终端设备的设备唯一标识为所述目标设备唯一标识，则确定所述目标账号对应的登录行为分析结果为登录行为正常；若所述目标账号对应的登录时间未处于所述预设登录时间段内，和/或所述目标账号对应的目标终端设备的设备唯一标识与所述目标设备唯一标识不同，则确定所述目标账号对应的登录行为分析结果为登录行为异常；和/或，获取所述目标账号对应的预设业务访问种类阈值、预设业务访问流量阈值和预设业务数据下载频次阈值；若所述目标账号在所述目标时间段内的业务访问种类小于或等于所述预设业务访问种类阈值、所述目标账号在所述目标时间段内的业务访问流量小于或等于所述预设业务访问流量阈值，且所述目标账号在所述目标时间段内的业务数据下载频次小于或等于所述预设业务数据下载频次阈值，则确定所述目标账号对应的业务访问行为分析结果为业务访问行为正常；若所述目标账号在所述目标时间段内的业务访问种类大于所述预设业务访问种类阈值，和/或所述目标账号在所述目标时间段内的业务访问流量大于所述预设业务访问流量阈值，和/或所述目标账号在所述目标时间段内的业务数据下载频次大于所述预设业务数据下载频次阈值，则确定所述目标账号对应的业务访问行为分析结果为业务访问行为异常；和/或，根据所述终端设备使用行为信息确定所述目标账号对应的目标终端设备是否存在违规使用行为；若不存在所述违规使用行为，则确定所述目标账号对应的终端设备使用行为分析结果为终端设备使用行为正常；若存在所述违规使用行为，则确定所述目标账号对应的终端设备使用行为分析结果为终端设备使用行为异常；和/或，
根据所述外发行为信息确定所述目标账号对应的目标终端设备是否存在违规外发行为；若不存在所述违规外发行为，则确定所述目标账号对应的外发行为分析结果为外发行为正常；若存在所述违规外发行为，则确定所述目标账号对应的外发行为分析结果为外发行为异常。4.根据权利要求3所述的方法，其特征在于，所述根据多个所述行为分析结果确定所述目标账号是否存在数据泄露风险，包括：若任意一个所述行为分析结果为行为异常，则确定所述目标账号存在数据泄露风险。5.根据权利要求3所述的方法，其特征在于，所述根据多个所述行为分析结果确定所述目标账号是否存在数据泄露风险，包括：获取每个所述行为分析结果对应的预设权重值；根据多个所述行为分析结果获取每个所述行为分析结果对应的风险评分；根据每个所述行为分析结果对应的预设权重值对多个所述风险评分进行加权求和计算，以获得所述目标账号对应的总风险评分；若所述总风险评分大于或等于风险评分阈值，则确定所述目标账号存在数据泄露风险。6.根据权利要求5所述的方法，其特征在于，所述方法还包括：若所述目标账号存在数据泄露风险，则根据所述目标账号对应的账号信息、用户行为信息和多个所述行为分析结果生成告警信息，并输出显示所述告警信息；将所述目标账号设置为高风险账号；根据第二预置规则调整所述目标账号对应的每个行为分析结果的风险评分。7.一种数据泄露风险分析系统，其特征在于，包括：获取单元，用于获取目标账号对应的用户行为信息；生成单元，用于根据所述用户行为信息和第一预置规则生成所述目标账号对应的多个行为分析结果，其中，多个所述行为分析结果包括登录行为分析结果、业务访问行为分析结果、终端设备使用行为分析结果和外发行为分析结果中的任意多个；确定单元，用于根据多个所述行为分析结果确定所述目标账号是否存在数据泄露风险。8.根据权利要求7所述的系统，其特征在于，所述获取单元包括：第一获取模块，用于获取登录行为信息日志，并从所述登录行为信息日志中提取所述目标账号对应的登录行为信息；第二获取模块，用于获取所述目标账号对应的业务访问行为信息；第三获取模块，用于获取所述目标账号对应的终端设备审计日志，并从所述终端设备审计日志中提取所述目标账号对应的终端设备使用行为信息；第四获取模块，用于获取所述目标账号对应的外发行为信息。9.一种存储介质，其特征在于，所述存储介质包括存储的程序，其中，在所述程序运行时控制所述存储介质所在设备执行权利要求1至6中任一项所述的数据泄露风险分析方法。10.一种数据泄露风险分析装置，其特征在于，所述装置包括存储介质；及一个或者多个处理器，所述存储介质与所述处理器耦合，所述处理器被配置为执行所述存储介质中存储的程序指令；所述程序指令运行时执行权利要求1至6中任一项所述的数据泄露风险分析
方法。

技术总结
本申请公开一种数据泄露风险分析方法及数据泄露风险分析系统，涉及数据泄露风险分析技术领域。本申请的方法包括：获取目标账号对应的用户行为信息；根据所述用户行为信息和第一预置规则生成所述目标账号对应的多个行为分析结果，其中，多个所述行为分析结果包括登录行为分析结果、业务访问行为分析结果、终端设备使用行为分析结果和外发行为分析结果中的任意多个；根据多个所述行为分析结果确定所述目标账号是否存在数据泄露风险。述目标账号是否存在数据泄露风险。述目标账号是否存在数据泄露风险。


技术研发人员：岳晓 郭国强 张怀广 龙堂超 赵帅
受保护的技术使用者：奇安信网神信息技术（北京）股份有限公司
技术研发日：2022.03.07
技术公布日：2023/9/20